岁已余晖短,新年即始,接踵而至各种转型或许为你的业务提供良机。无论您在过去几年中的威胁环境如何驾驭风险,新的时机到来之际都应该在运营技术(OT)安全方面做出明确的决定,决定为我们的业务和环境的安全做些什么或不做些什么。
由于物联网(IoT)设备在工业环境和关键基础设施中的普遍部署,在以后的岁月里,我们将看到更多恶意行为者攻击OT的漏洞。当然,因为许多OT网络的设计没有考虑任何安全性或没有适当的保护措施。此外,就是随着组织继续融合其IT和OT环境,整个被攻击面每天都在变得更加复杂,变得越来越广泛。
国外安全人员花了很多时间在工厂车间和安全运营中心(SOC),惊讶于这些从业者共同面临的共同挑战。以下是其建议从业者应该在2019年关注的内容:
1.了解运营技术安全风险就是业务风险。
理解和沟通风险。要明白风险可能会损害组织的声誉、导致严重的运营问题,例如生产停机、合规性(违规)处罚和环境安全。业务监督和执行领导可以帮助建立IT和OT之间的协作文化,以实现双方的共同利益,最终实现组织的整体利益。双方有效地相互合作提高组织的安全状况,可以以增进相互理解,提高关键基础架构的可靠性和安全性。
2. 监控用户活动。
从公司IT网络中的用户或系统检测工业控制系统(ICS)网络的是否成功认证尝试也非常重要。如果攻击者通过受感染的系统访问您的网络,他们将尝试跨越到ICS网络以定位关键基础架构。通过监控成功和不成功的登录尝试,可以有效识别异常,通过考虑诸如时间、频率和其他可疑行为等因素。
监控来自用户,供应商或系统集成商的远程连接也很重要。使用远程桌面协议(RDP)的任何人都可以访问设备允许的所有功能,所以开启RDP时需要考虑白名单策略,同时白名单策略也是工控系统中常用的安全策略之一。通过VPN提供对ICS网络的远程访问。如果未充分监视和控制远程访问功能,则未经授权的用户可能访问系统或整个ICS网络。
最后,查找存储在日志和配置文件中的凭据。未受保护的密码和其他凭据意味着黑客可能完全控制您的系统并在互连网络中横向移动,更多系统可能遭受攻击。为防止出现这种情况,应以安全方式存储凭据,若无法安全存储凭证的情况下,限制(最小特权)和/或监视访问。
3. 检查防火墙,路由器和交换机的变化。
正确配置的防火墙可用于保护控制系统免受未经授权的访问,需要对规则集进行监控和检查,以提供持续,充分的保护。保护控制系统免受不必要的访问和可能的攻击需要实时监控防火墙,以快速检测并启动对网络事件的响应。
当然也不能忽视ICS网络上的路由器和交换机等网络设备。它们起着允许或拒绝ICS网络和公司网络之间的通信功能。通过来自路由器和交换机的适当且准确的日志,可以快速检测到不需要的网络访问(异常网络访问),以快速锁定异常,减少安全事件。
查看新设备以了解它们在整个环境中的作用和以及对整个环境的影响。了解环境中的每个设备(系统资产)将有助于了解系统是否感染了恶意软件并通过网络扩散到其他系统。
4. 标记用于交换关键信息的不安全协议。
默认情况下,Telnet,HTTP,FTP或Windows文件共享等协议是不安全的,意味着公司数据有可能通过这些途径外泄,并且可能会对业务产生破坏性的后果,这些后果带来的损失将是高昂的代价。例如,内容数据通常存在于FTP服务器上若干年,未经授权的个人可以相对容易地访敏感信息。 所以,慎用这些不安全的协议同时,如果属于业务必须则采取好相应防护措施。
5. 考虑采用机器学习。
机器学习是一个当下比较流行的东西,安全专业人员越来越担心恶意攻击者可能会使用机器学习技术,为未来安全带来全新挑战,引发安全危及。鉴于数据量呈现与日俱增的势头,网络威胁数量的增加以及技术变革的快速发展,安全分析师亦可以借助机器学习,从中获益。网络安全的未来将是需要人力和机器的协作,不断融合适当的人类判断与机器学习能力在一起,最终形成最佳的防御策略。
新春来临之际,信息安全人员应该从IT部门、OT部门、工厂、SOC和整个企业一路看下去,去寻找他们基于当下的最完美解决方案。当然,此处说的完美是,企业具体情况下可以做的最好的状态,要知道在信息安全领域,是永远止境的。信息安全的对抗,一直是魔与道,道高一尺魔高一丈的斗争,一刻不能松懈的。但是,请相信自古邪不压正,道路险阻,却也是必然之路。千百年来,魔道比拼只是战场不同,从来都是魔高道更高,只不过要修好道心,防止魔心罢了。此处虽是戏言,不过理却很真哦。
在此,祝大家在新春佳节来临之际,祝大家抱得金猪肥又圆,阖家欢乐笑声传,觥筹交错美酒满,春风得意过好年。